事件概述
发生时间:2025年12月5日 08:47 UTC
恢复时间:2025年12月5日 09:12 UTC
持续时间:约25分钟
影响范围:约28%的Cloudflare HTTP流量
事件性质:因系统变更引发故障,非网络攻击或恶意活动导致
根本原因
◆为应对本周披露的React Server Components行业级漏洞,Cloudflare尝试增加WAF缓冲区大小(从128KB增至1MB)
◆在部署过程中,团队禁用了内部测试工具以解决错误增加问题
◆该禁用操作通过全局配置系统执行,导致FL1代理版本中触发一个存在多年的Lua代码错误
影响范围
◆受影响客户
使用较旧的FL1代理版本、部署了Cloudflare托管规则集
◆未受影响客户
未同时满足上述两条件、由中国网络提供服务的客户流量
技术细节
漏洞背景:为防护CVE-2025-55182漏洞,增加缓冲区大小至1MB(Next.js应用默认限制)
部署机制:使用全局配置系统进行变更,该系统可在几秒内将变更传播至整个网络
代码缺陷:当killswitch应用于具有"execute"操作的规则时,代码未正确处理被跳过的规则
架构差异:在使用Rust编写的新型FL2代理中,该错误不会发生
与11月18日事件关联
◆均因安全机制相关变更通过全局配置快速传播导致
◆相关改进措施尚未完全部署:
•增强的渐进式部署与版本控制
•便捷的紧急访问能力
•优化错误处理机制
Cloudflare outage on December 5, 2025
#网络 #故障 #中断 #全球 #事件
Via @Cloudflare_CN
研究人员在 rsync 中发现 6 个漏洞,其中最严重的漏洞允许攻击者通过匿名读取权限在服务器上执行任意代码。这些漏洞已在即将发布的 rsync 3.4.0 中修复。以下是漏洞详情:
1. CVE-2024-12084:堆缓冲区溢出漏洞,由于校验和长度处理不当,攻击者可越界写入。影响版本:>= 3.2.7 且 < 3.4.0。建议禁用 SHA* 支持进行缓解。
2. CVE-2024-12085:未初始化栈内容信息泄露漏洞,攻击者可通过操纵校验和长度泄露栈数据。影响版本:< 3.4.0。建议编译时使用
3. CVE-2024-12086:rsync 服务器可泄露客户端任意文件内容。影响版本:< 3.4.0。
4. CVE-2024-12087:路径遍历漏洞,由于
5. CVE-2024-12088:
6. CVE-2024-12747:符号链接处理中的竞争条件漏洞,可能导致信息泄露或权限提升。影响版本:< 3.4.0。
建议用户尽快升级到 rsync 3.4.0 以修复这些漏洞。
https://kb.cert.org/vuls/id/952657
#网络安全 #漏洞 #rsync #CVE
#AIGC
1. CVE-2024-12084:堆缓冲区溢出漏洞,由于校验和长度处理不当,攻击者可越界写入。影响版本:>= 3.2.7 且 < 3.4.0。建议禁用 SHA* 支持进行缓解。
2. CVE-2024-12085:未初始化栈内容信息泄露漏洞,攻击者可通过操纵校验和长度泄露栈数据。影响版本:< 3.4.0。建议编译时使用
-ftrivial-auto-var-init=zero 缓解。3. CVE-2024-12086:rsync 服务器可泄露客户端任意文件内容。影响版本:< 3.4.0。
4. CVE-2024-12087:路径遍历漏洞,由于
--inc-recursive 选项的符号链接验证不足,恶意服务器可写入客户端任意路径。影响版本:< 3.4.0。5. CVE-2024-12088:
--safe-links 选项绕过漏洞,导致路径遍历。影响版本:< 3.4.0。6. CVE-2024-12747:符号链接处理中的竞争条件漏洞,可能导致信息泄露或权限提升。影响版本:< 3.4.0。
建议用户尽快升级到 rsync 3.4.0 以修复这些漏洞。
https://kb.cert.org/vuls/id/952657
#网络安全 #漏洞 #rsync #CVE
#AIGC
#游戏 #网游 #未成年
【国家新闻出版署下发《关于进一步严格管理 切实防止未成年人沉迷网络游戏的通知》】
近日,国家新闻出版署下发《关于进一步严格管理 切实防止未成年人沉迷网络游戏的通知》,针对未成年人过度使用甚至沉迷网络游戏问题,进一步严格管理措施,坚决防止未成年人沉迷网络游戏,切实保护未成年人身心健康。
通知要求,严格限制向未成年人提供网络游戏服务的时间,所有网络游戏企业仅可在周五、周六、周日和法定节假日每日20时至21时向未成年人提供1小时服务,其他时间均不得以任何形式向未成年人提供网络游戏服务;严格落实网络游戏用户账号实名注册和登录要求,不得以任何形式向未实名注册和登录的用户提供游戏服务;各级出版管理部门要加强对防止未成年人沉迷网络游戏有关措施落实情况的监督检查,对未严格落实的网络游戏企业,依法依规严肃处理。
通知提出,要积极引导家庭、学校等社会各方面共管共治,依法履行未成年人监护责任,为未成年人健康成长营造良好环境。(新华社)
消息来源: https://t.me/bigcrowdev/18541
【国家新闻出版署下发《关于进一步严格管理 切实防止未成年人沉迷网络游戏的通知》】
近日,国家新闻出版署下发《关于进一步严格管理 切实防止未成年人沉迷网络游戏的通知》,针对未成年人过度使用甚至沉迷网络游戏问题,进一步严格管理措施,坚决防止未成年人沉迷网络游戏,切实保护未成年人身心健康。
通知要求,严格限制向未成年人提供网络游戏服务的时间,所有网络游戏企业仅可在周五、周六、周日和法定节假日每日20时至21时向未成年人提供1小时服务,其他时间均不得以任何形式向未成年人提供网络游戏服务;严格落实网络游戏用户账号实名注册和登录要求,不得以任何形式向未实名注册和登录的用户提供游戏服务;各级出版管理部门要加强对防止未成年人沉迷网络游戏有关措施落实情况的监督检查,对未严格落实的网络游戏企业,依法依规严肃处理。
通知提出,要积极引导家庭、学校等社会各方面共管共治,依法履行未成年人监护责任,为未成年人健康成长营造良好环境。(新华社)
消息来源: https://t.me/bigcrowdev/18541
